Die DEUTSCHEN Trojaner-Seiten

 

Virentypen

Beschreibung einiger Viren-Arten (-Formen). Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man somit als eine Mischform verschiedene Virentypen bezeichnen. Ausserdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begriffserklärung an.



A-F H-L M-R S-Z


Script-Viren
Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen.


Slack Viren
Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren um sich unauffällig einzunisten. Dadurch wird verhindert, dass die Grösse einer Datei verändert wird und somit dem Anwender nicht auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.


Slow Infector-Viren
Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, um Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da somit die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.


Stealthviren / Tarnkappenviren
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.


TSR-Dateiviren
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.


Update-Viren
Eigentlich sagt hier auch schon die Bezeichnung "Update" eine Menge aus, welches sich auch in der Art des Virus wiederspiegelt. Update-Viren sind in der Regel einer ganzen Familie zuzuordnen. Meisst werden diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert.


Überschreibende Viren (Overwriting)
Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.


Zeitzünder
Es handelt sich hier um spezielle Auslösemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich,k einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.

A-F H-L M-R S-Z


(tt)